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Abstract of DEI 01 2501 7 

The invention relates to, among other things, a method according to which an access function (36) for a 
number of service user computers (18) permits a connection between the service user computer (18) and 
a service provider computer (22 to 26). which is selected by a service user (A), according to requests 
submitted by a service user computer (18). The insertion of an access function (36), and the use of a test 
unit (38) make it possible to secure useful data that is to be processed in a reliant manner. 
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Die folgenden Angaban sind den vom Anmelder eingereichten Unterlagen entnommen 

Priifungsantrag gem. § 44 PatG ist gestellt 

@ Verfahren zum Erbringen von Diensten in einem Datenubertragungsnetz und zugehorige Komponenten 

@ Erlautert wird unter anderem ein Verfahren, bei dem 
eine Zugangsfunktion (36) fur mehrere Dienstnutzungs- 
rechner (18) abhangig von Anforderungen von der Seite 
eines Dienstnutzungsrechners (18) eine Verbindung zwi- 
schen dem Dienstnutzungsrechner (18) und einem durch 
einen Dienstnutzer (A) ausgewahlten Diensterbringungs- 
rechner (22 bis 26) ermogticht. Das Zwischenschalten el- 
ner Zugangsfunktion (36) und das Verwenden einer Pru- 

feinheit (38) ermoglicht die Sicherung von vertrauensvoll ^^.^ — — n 

2U behandelnden Nutzdaten. f — " g ; 
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Beschreibung 



[0001] Die Erfindiing betrifft ein Verfahren. bei dem eine 
Zugangsfunkfion fiir mehrere Dienstnutzungsrechner eine 

nSn n!l""f l'^"*'*'^" ^^"^ Dien^nutzungsrechner und ei- 5 
nem Diensterbnngungsrechner ermfiglicht 

fp^f^ ^'^^^\'}''^ "^^ der Zugangsfunktion die In- 
ternetseite eines Unternehmens aufrufen. das seine Dienst- 
leistungen iiber das Internet verkauft. Die Zugangsfunktion 
prun unter anderem die Identitat des DienstnuLrs S lo 
spiclswcisc durch Abfragc cincs Passwortcs. 
[0003] Bisher war es ubiich, dass jedes Unternehmen 
seine e.gene Zugangsfunktion hatte und dass die Kundenda- 
ten von jedem Unternelimen einzeln und damit unter Um- 

d2"in"nr„H r ^-orden sind. Die Sicherheit 15 

der Kundendaten ist bei einer solchen verteilten Speiche- 
ning der Kundendaten nur eingeschrankt gewahrleislet 
Aufgrund di«er Einschrankungen der Sicherheit entS 
S^fc- ri?""/.!' Kundendaten. Durch einen solchen 
Handel sinkt die Akzeptanz der Diensterbringungsverfahren 20 
?en^.?' ^^r"'!*"""'^'^- '"'=b-==°"dere wLn Kundenda- 

[0004] Es ist Aufgabc der Erfindung. zum Erbringcn von 25 
Diensten m emem Datenubertragungsnetz ein einfaches 
Verfahren anzugeben, das es insbesondete gestattet Kun- 
dendaten vor Missbrauch besser zu schutzen als bisher. Au- 
• Berdem sollen ein zugehotiges Programm und eine zugeho- 
mnn?i i^"^ f !.""«'^"'^8e angegeben werden. 30 
H?. K^- Verfahren bezogene Aufgabe wird 

durch die ,m Patentanspruch 1 angegebenen Verfahrens- 

SichSn H^v ""i ' Oberlegung aus, dass 35 

? .• u • f Kundendaten ein erheblicher Aufwand er- 
forderhch .St. der die Akzeptanz der EAringung von Dien- 

k?n wSc n'"!r™'^'r''*" "'"^^ ''^^ DieLta'bieter sen- 
ken wurdc. Urn dcm abcr cntgcgcnzuwirkcn, wird bcim cr- 

findungsgernajen Verfahren eine Zugangsfunktion vel^^^e" 40 
l.hnf T ^^^'""^""g ^^i^-hen einem Dienstnutzungs- 
ruswThmr "^^hreren durch einen Dienstnutfer 

auswahlbaren Diensterbnngungsrechner ermoglicht AuBer- 
dem wird eine zenirale Datenbank eingerichtet, in der fiir 
eesnSn Dienstnufzer zu sichemde Nutzerdaten 45 

Erbringung der Dienste ver- 
schiedener Diensterbtingungsrechner erfotderlich sind 
Durch diese Zentralisierung der Zugangsfunktion und der 
Datenbank ISsst sich der Aufwand fUr die Sicherung Z 
S " A- ^ I'u^ ^'^«*i«dener Diensterbrin- 50 

IZ steSSo ^'^P*^^ ^^'^^ "^"^ Diensterbrin- 

Vcnvcndcn der zcntralcn Datenbank 
kann auch den Dienstnutzern zugesichert werden, dass ihre 
Daten vor Missbrauch geschutzt sind. Somit erhoht sich die 55 
Akzeptanz von Verfahren zur Diensterbringung uber ein Da- 
tenubertragungsnetz auch auf der Seite der Dienstnulzer. 

H ,.P^,^''''"dungsgemal3e Verfahren geht auBerdem 
von der Uherlegung aus, dass die zu sichemden Kundenda- 

l^l^.l^^'T u"!f." Diensterbringung erforderUch sind, 60 
jedoch nicht unbedmgt dem Diensterbringer Ubergeben wer- 
den mussen. Deshalb wird beim erfindungsgemaBen Verfah- 
ren nach der Verbindungsaufnahine zwischen einein Dienst- 
nutzungsrechner und einem ausgewaliltcn Diensterbrin- 
gungsrechner im Rahmen der Diensterbringung fur den den 65 

Dienstnutzer an eine zen- 
Pnifeinheit erne Anforderung gestelh. Diese Anforde- 
rung betnfft beispielsweise die Zusicherung der Zahlungsfa- 



higkeil des Dienstnutzers. Die Anforderung kann nur unter 
Zugnff auf zu sichemde Nutzerdaten des Dienstnut^erbe 

dneT« Tr'"- ""^ beispielsweise DeckungsSgt 
einer Bank fur spatere Nachweiszwecke zu speichem An- 

£^n7n "^-"^ ^""^ '''"^ f™''^^^ Deckungszusage ge- 
lesen. falk s,e noch gOltig ist. Eine Prufeinheit, die unabhfn- 

gig von den Diensterbringungsrechnem arbeitet. bearbeitet 
d^ Anforderung unter Zugriff auf zu sichernden Nutzerda 
t«» des Dienstnutzers. Nur das Bearbcitungsergebnis nicht 
aber ein sichemdes Nutzerdatum selbst wird von der FW- 
fcinhcit an den die Anforderung stcllcndcn Dicnstcrbrin- 
gungsrechner iibermittelt. Der betreffende DiensSrin- 
gungsrechner erbringt dann seinen Dienst abhSngig vom 
Bearbeitungsergebnis. Durch diese MaBnahme wird ^so e^ 
reicht, dass die zu sichemden Kundendaten selbst nicht an 
einen Diensterbnngungsrechner Obennittelt werden mus- 
sen Nur d,e Prufeinheit ha. Zugriff auf die zu sichernden 
Daten. Damit ist ein Handel mit den zu sichernden Sen- 
•gS|r ^"^"^ Missbrauch wird wirksam vor- 

v.Tk u"^' Weiterbildung des erfindungsgemaBen 
£?n 'iT^ S«h6ren die Diensterbringungsrechner verTS 
denen Betreibern. Nach der Anwahl eines Diensterbrin- 
gungsrechners wird dessen Berechtigung zum Stellervon 
Anfotdcrungcn mit Hilfc cincs Bcrcchligungspriifvcrfah^ 
«ns gepriift. Das Bearbeitungsergebnis wfrd nuf bei b«t 
hender Berechtigung von der Prtifeinheit an den Dienster- 
bnngungsrechner ubemiittelt. Bei fehlender Berechticunc 
wird kein Bearbeitungsergebnis ubermitteit Bei fehlender 
Berechtigung muss die Anforderung nicht bearbeitet wS! 
den_ Durch das Priifen der Berechtigung zur Seite derDieil 
sterbnngungsrechner hin lasst sich iewahrleisten dass 
Se r'rT" UnberechAte gestellt ward 

Sen V®^' f""' "^^^T" Weiterbildung des erfindungsge- 
maBen Verfahreiis werden die zu sichemden Nutzerdafen 

°'-^'-bringu„gsrechnerta" 
ben kcincn Zugang zu oincm zum Entschlusscln crfordcrli- 
chen digitalen Schliissel. Das Verschliisselungsverfah^n 
bzw. ein zu verwendender Schlussel lasst sich miiHilfe kon 
stmkuver und/oder elektronischer Sichemng^maBnime^ 
geheimhalten. Selbst wenn die zu sichernden KundSen 
durch Unbetugte kopiert werden, sind diese nicht im S 

Sih^'^H "'"""f «rf-d-rlichen Schlassels Dam? 
bleiben die zu sichemden Daten trotz des unberechtigten 
Kopierens vor Missbrauch geschutzt ««=cniigten 
[0011] Bei einem zweiten Aspekt der Erfindung, der auch 
a^s eine nachsten Weiterbildung des erfindunf gemsS 
Verfahrens nach dem zuvor erlauterten Aspekt dfrErfin- 

tZ-f^V"^- ^^^^"''^"'^ Dienst-NutzerdaSn 

riT. dieiistbezogene Daten fur die Dienstnutzer 

S^hrL"" i?"*'^''' ."^""Ssrcchncrcnthaltcn. Nach der An- 
wahl eines Diensterbnngungsrechners wird dessen Berech- 
Ugung zuin Empfangen von Dienst-Nutzerdaten betreffend 
d«, durch jhn erbrachten Dienst gepruft. An den ausgewahl- 
ten Diensterbnngungsrechner werden die angeforderten 
^'.^''^'-NMteerdaten nm bei bestehender Bert^chtigung iiber- 
m, telt Uberniittelt werden ir.mer nur die dienslezogenen 
Daten desjemgen Dienstnutzers, der den ausgewa,lten 
ptensterbnngungsrechner ausgewahlt hat. Der Dienster- 
bnngungsrechner erbringt dann seinen Dienst unter Verwen- 
dung der iibenuittelten Diensl-Nul^erdalcn. Dutuh die PrO- 
fung der Berechtigung zum Empfangen von Dienst-Nutzcr- 
daten lasst sich gewahrleisten. dass die Dienst-Nutzerdaten 
einzelner Diensterbringer nicht missbrauchlich an Dritte 
ubermitteit werden. "«ii.ic 

[0012] Bei einer Ausgestaltung ist die Datenbank zum 
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Speichem der Dienst-Nutzerdaten Bestandteil der zentxalen 
Datenbank. Bei einer anderen Ausgestaltung wird zum Prii- 
fen der Berechtigung fiir das Steilen von Anfprdeningen 
und zum Priifen der Berechtigung fiir das Einpfangen von 
dienstbezogenen Dienst-Nutzerdaten dasselbe Priifverfah- 5 
ren ausgefuhrt. Somil isl jeweils nur ein BerechtigungsprUf- 
verfahren auszufUhren. 

[0013] Bei einer Weiterbildung des Verfahrens mit einer 
Datenbank fiir Dienst-Nutzerdaten sind die Dienst-Nutzer- 
daten verschliisselt gespeichert und wcrden auch verschliis- lO 
sclt iibcrtragcn. Vcrschicdcnc Dicnstcrbringungsrcchncr 
verwenden verschiedene digilale Schlussel zum Entschliis- 
seln der Dienst-Nutzerdaten. Durch diese MaBnahme wird 
gewahrleistet, dass die Dienst-Nutzerdaten nur durch den 
berechtigten Diensterbringer entschlusselt warden konnen. 15 
Andere Diensterbringungsrechner und auch der Betreiber 
der Datenbanken sind nicht in der Lage, die Dienst-Nutzer- 
daten zu entschLiisseln. Damit lassen sich die Dienst-Nutzer- 
daten wirksam vor Missbrauch schutzen. Die Speicherung 
der Dienst-Nutzerdaten auBerhalb des den Dienst erbrin- 20 
genden Untemehmens wird so leichter akzeptiert. 
[0014] Bei einer weiteren Ausgestaltung des Verfahrens 
mit Verwendung von Dienst-Nutzerdaten sind die Dienst- 
Nutzerdaten zusatzlich oder aitemativ mit einem zentralen 
Vcrschliissclungsvcrfahrcn vcrschlusscLt. Zum Entschliis- 25 
seln der mit dem zentralen Verschliisselungsverfahren ver- 
schliisselten Nutzdaten wird ein digitaler Schlussel verwen- 
det, zu dem die Diensterbringungsrechner keinen Zugang 
haben. Durch diese MaBnahme lassen sich sowohl von den 
Diensterbringungsrechnem kommende unverschliisselte 
Daten als auch verschlusselte Daten nach dem gleichen zen- 
tralen Verfahren sicher speichem. Eine doppelte Verschliis- 
selung bieiet auBerdem eine zusatzliche Sicherheit gegen 
den Missbrauch der dienstbezogenen Daten. 
[0015] Bei einer anderen Weiterbildung des edindungsge- 35 
maBen Verfahrens werden in einer von mehreren Dienster- 
bringungsrechnem genutzten Datenbank digitale Daten uber 
Zahlungsvorgange fur verschiedene Diensterbringungsrech- 
ner gespeichert. Dicsc Datenbank ist bcispiclswcisc Be- 
standteil der zentralen Datenbank. Es lassen sich die oben 40 
genannten Verschliisselungsverfahren auch zum Sichem der 
Daten uber die Zahlungsvorgange einsetzen. AuBerdem 
wird eine Berechtigungsprufung vor der Obermittlung der 
Daten iiber die Zahlungsvorgange ausgefuhrt. 
[0016] Bei-ftiner weiteren Weiterbildung des erfindungs- 45 
gemaBen Verfahrens wird die Berechtigung des Dienslnut- 
zers unter Verwendung eines BerechtigungsprUf verfahrens 
gepriift. Die Auswahl wird nur beiin Vorliegen einer Be- 
rechtigung zugelassen. Durch diese Berechtigungsprufung 
lasst sich ein Missbrauch von der Seite der Dienstnutzer her 50 
verhindern. 

[0017] Bei einer nachsten Weiterbildung wird die Berech- 
tigungsprufung bzw. wcrden die Bcrcchtigungspriifungcn 
unter Verwendung von digitalen Schltisseln durchgefuhrt, 
die von mindestens einer 2^rtifizierungsstelle erzeugt wor- 55 
den sind. Die Zertifizierungsstelle selbst ist Teil einer Zerti- 
fizierungskette. Das Verwenden von digitalen Schliisseln 
bietet gegentiber dem Nutzen von Pass wortern. eine erhohte 
und beim zusatzlich en Verwenden von Passwortem eine zu- 
satzliche Sicherheit. Eine Zertifizierungs-Infrastruktur lasst 60 
sich beispielsweise gemaB Standard X.509 der ITU-T (Inter- 
national Telecommunication Union - Telecommunication 
Sector) aulbauen. Eingesetzt werden aber auch andere Infra- 
strukturen, z. B. eine Infrastruktur gemaB den Vorgaben der 
IbTl* (Internet Engineering Task Force) im Request for 65 
Comment 2459, Januar 1999. Das Aufbauen solcher Infra- 
strukturen und das Einbeziehen in das erfindungsgemaBe . 
Verfahren gewdhrleistel alien beteiligten Seiten eine hohe 
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Sicherheit. Beispielsweise lassen sich ungiiltige Schlussel 
auf einfache Art und Weise sperren. 

[0018] Bei einer anderen Weiterbildung wird ein geheim- 
zuhaltender digitaler Schlussel fur das Verschlusseln einge- 
setzt. Der geheimzuhaltende Schlussel wird in einer eleklxo- 
nisch gesicherten Speichereinheit gespeichert. Bei einer 
Ausgestaltung ist die gesicherte Speichereinheit Bestandteil 
einer sogenannten Chipkarte, die einen eingegossenen Pro- 
zessor und die gesicherte Speichereinheit enthalt. Die gesi- 
cherte Speichereinheit lasst sich ausschliefilich durch diesen 
Prozcssor Icscn und schrcibcn. Vor dem Zugriff wird bei ei- 
ner Ausgestaltung eine Berechtigungsprufung ausgefuhrt, 
die beispielsweise die Abfrage eines Passwortes oder einer 
Geheimnummer enthalt. Vorzugsweise wird ein asymmetri- 
sches Verschliisselungsverfahren eingesetzt, 
[0019] Bei einer anderen Weiterbildung des erfindungsge- 
maBen Verfahrens betrifft die Anforderung die Absicherung 
einer Zahlung. Die Absicherung der Zahlung ist das Kem- 
stuck der Diensterbringung uber ein Dateniibertragungsnetz 
und fur die Akzeptanz dieser Verfahren daher besonders 
wichtig. So werden Anforderungen gestellt, mit denen durch 
einen Dritten die Haftung fiir den Fall ubernommen wird, 
dass der Dienstautzer den genutzten Dienst nicht zahlt. 
Diese Zusicherungen sind bei einer Ausgestaltung zeiHich 
bcgrcnzt, bcispiclswcisc auf einen Tag oder auf die Zcit- 
dauer einer Verbindung zwischen Diensmutzer und Dien- 
sterbringungsrechner. 

[0020] Bei einer anderen Weiterbildung des erfindungsge- 
maflen Verfahrens stellt die Priifeinheit zur Bearbeitung der 
Anforderung eine Anfrage zum Hrhalt eines Zahlungszerti- 
fikats an einen Zertifizierungsrechner. Der Zertifizierungs- 
rechner erzeugt ein digitales Zahlungszertifikat, das die Zah- 
lung absichert. Das Zahlungszertifikat wird dann uber die 
Priifeinheit zum Diensterbringungsrechner weiteigeleitet. 
Auch zum Erzeugen des digitalen Zahlungszertifikates wer- 
den bei einer Ausgestaltung Verschliisselungs- und/oder Un- 
terschriftsverfehren unter Verwendung- von digitalen 
Schliisseln eingesetzt. Auch der Zertifizierungsrechner ist 
bei einer Ausgestaltung Tcil cincr Zcrtifizierungsinfrastruk- 
tur. Die vom Zertifizierungsrechner ausgestellten Zertifikate 
haben eine kiirzere Gultigkeitsdauer als die Zertifikate fiir 
die digitalen Schliissel. Durch die kiirze Giildgkeitsdauer 
lasst sich ein Missbrauch der Zahlungszertifikate bzw. Zah- 
lungsattribute besser verhindern. Ein Zertifizierungsrechner 
ist bei einer Ausgestaltung ein sogenannter TrustedA-Rech- 
ner (Trusted Authorizer), wie er von der irischen Firma SSE 
verkauft wird, siehe www.sse.ie. 

[0021] Bei einer alternaiiven Weiterbildung erzeugt die 
Prufeinheit bei der Bearbeitung der Anforderung selbst ein 
Zahlungszertifikat, das die Zahlung absichert. In dieseni Fall 
ist die Piiifeinheit beispielsweise im Besitz eines Bankinsti- 
tutes bzw. eines Kreditinstitutes. Das durch die Priifeinheit 
crzcugtc Zahlungszertifikat wird auch an den Diensterbrin- 
gungsrechner weitergeleitet. Der Diensterbringungsrechner 
priift dann beispielsweise das Zahlungszertifikat und veran- 
lasst die Diensterbringung, falls das Zahlungszertifikat giil- 
tig ist und die Anforderung bestatigt. 

[0022] Bei einer nachsten Weiterbildimg erbringen die 
Diensterbringungsrechner die Funktionen elekr.ronischer 
Kaufplattformen und/oder elektronischer Diensdeistungs- 
plattformen, z. B.: 

- Abruf von Musikdaten, Videodaien oder Prograinni- 
daten, 

- e- Business, Bankgeschafte, Ilandelgeschafte, 

- Informationsdienste, 

- sichere digitale Sprachiibertragung. 
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fur andere Dienste eingesetzt. bei denen zu sichernde Daten 
der Diensmutzer ,n die Diensterbringung einbezogen wer- 
den. beispielsweise Krediigeschafte 

zessor das erfindungsgeniaBe Vetfahren oder eine seiner 
Wcterbddung ausgefuhrt wird. AuBerdem ist ein" Da en- 
vcrarbcitungsanlagc gcschiitzt. die cin solchcs Programm 
enthalt Fur das Programm und die DatenverarbeituSr 
lage gellen somit die oben genannlen techriischen VWrkun- 
gen. 

SSh^""" Verschlusseln lassen sich asymmetrische Ver- 
schlusselungsverfahren einsetzen. z. B. das RSA-Verfahren 
(Revist. Shamir, Adieman). Aber auch symmefrische Ver- 
fahren werden eingesetzt, z. B. der dreifache DES-AlBorith- 
T ^P^'^Encryption Standard). Ein anderes gebrfuchli- 

Wrflr^r "".f''^"^'''''*" "eispielsweisi das S- 
VerfaJmsn (Elhpac Curve Cryptographie). 

CrS we-^den Ausfuhrungsbeispiele der 

§2!fzefgcn: "eiliegenden Zeichnungen eriautert 

SSine^'^" ^ Datcnubcrtragungsnctz und cincn Zcn- 

frage^lnd '"'^ ^^^«'"ng «ner ZahlungsfShigkeitsan- 

t B^^-^^it^-g Attributanfrage. 
i.n 7" , [ ^^•SA^"' Dateniibenragungsnetz 10, das ei- 
nen Zeniralrechner 12 enthalt. Bestandteil des Datenuberlra- 

£o SI (Transmission Control Protocol/Internet 

Protocol) ubertragen. Im Mobilfunknetz 16 werden digitale 
Daten bcispielsweise gemaB GSM-Standard (Global System 
tor Mobile Communication) odcr gcmaB UMTS-Standard 

kS ? V 1 ^uf"'^' " "''^^ '^^^ Mobilfunknetz 16 
konnen e.ne Viel^hl von Dienstnutzern, beispielsweise 
mehrere Tausend, Verbindungen zwischen den von ibnen 
gemnzten Endgeraten und dem Zentralrechner 12 aufbLuen 
Zu V Endgerat 18 eines Dienstnulzers A daree- 

stellt. Das Endgerat 18 ist beispielsweise ein tragbarer R^h- 

rO03°fr ^"""ff^^'^t "nd enthalt eine Smartkaite 20. 
[0033] Uber das Internet 14 und das Mobilfunknetz 16 

lassensichauBerdemVerbindungenzwischeneinerVielzahl 
von Diensterbringungsrechnern und dem Zentralrechner 12 

h"^!^^' ^^^P'^I^T'^J' find mehrere hundert Dienster- 
bnngungsrechner beim ZentraL«:hncr 12 registriert. In Fig. 
1 smd zwci Dicnstcrbringungsrcchncr 22 und 24 dargcstclk 
die Diensterbnngem B und 2 gehoren. Weitere Dienster- 
bnngungsrechner 26 sind durch Punkte angedeutet. In den 
Diensterbnngungsrechnem 22 und 24 sind jeweils vonein- 
ctert """"'•"^^"^ '^'^^^^ Zertifikate ZB bzw. ZZ gespei- 

™! Smartkarte 20, das Zertifikat ZB und das Zerti- 
flkat ZZ sind von einem PKI-Zentrum 28 (public key infra- 
structure) ausgegeben worden, nachdem die Identitat des 
Dienstnuiaers A, des Diensterbringers B bzw. des Dienster- 
■ u'f Ausgabeslelle gepruft worden 

s^nd. Die lokale Ausgabestelle wird auch als LRA-StcUc 
(Loca Registration Authority) bezeichnet. Die Ausgabe der 
Smartkarte 20 bzw. des Zerfifikates ZB wird durch einen 
Pfeil 30 bzw. 32 verdeutlicht. 

I003S] Wird die Smartkarte 20 oder ein Zertifikat ZB, ZZ 



gesperrt so benachrichtigt das PKI-Zentrum 28 den Zenu-al- 
rechner 12. siehe Pfeil 34. Der Zentralrechner 12 schSt 

. SaSn^au's" ^^^"•'''^"W^f-Ben von weiteren 

[0036] Der Zentralrechner 12 ist ein sehr leistungsstarker 
Rechner und enMlt eine Zugangseinheit 36, eine Sfet 
etl Zu f " r ""^ 40. Die Zugangseinheit 36 stellt 
ID H,? ^"S^ngsmoghchke.t fur die Dienstnutzungsrechner 18 

SbTnl" Tal '"'f "'^^ " ""'^ "''^ MobiLnkne" 16 
3^Sr. V "k '^^'^ Zugangseinheit 

36 d« Verbindungen zwischen dem Zentralrechnef 12 und 

den Diensterbringungsrechnern 22 bis 26 aufbauen siehe 

IS Srech?"'" '"" r^ Zugangseinheit 36 futo aSh 

IS Berechtigungspnifungen duich. die unten an Hand der FIb 
2 naher eriautert werden 

myr] Die Priifeinheit 38 prfift. ob fiir einen Diensfnutzer 
die Cewahr ubemommen werden kann, dass er zahlungS- 
yn n-* f ^F^"" "^''^ ''ogenanntes Zahlungsattribut erSt 
f ^"^Sfahrten Verfahrensschritte werden unt^ f^ 
Hand der Fig. 3 und 4 nSher eriautert 

K.nS* Zusangseinheit 36 und die Prufeinheit 38 ha- 
ben Zugnflf auf die Datenbank 40. In der Datenbank 40 sind 
Dienstnutzeq,rofile 46 und Dient-Nutzerdaten 48 gesnri- 

40 wird mit cincm kommc^ifl t - 
fiigbaren Verzeichnisverwaltungsprogramm verwaltet z B 
mt dem Programm DIRX der Firma SIEMENS AG Die 
Dienstnutzerprofile 46 enthalten Daten iiber die Gewohnhei- 
ten der Dienstnutzer bei der Auswahl der Diensterbrin- 

Some 4Th ^"'^^'•^"^ 

zerprofile 46 beispielsweise Angaben iiber einen Kreditrah- 

S S'h " 7^1 ^"'^^'"^^ '''' Zentraltechners cS Ge- 
n,v n die Zahlungsfahigkeit der Dienstnutzer flbemimmt 

35 Sn SS"^!m ?r 'f''"^' "etroffe- 
I " ^''""S" ^ienstes- Beispielsweise 

endialten Dienst-Nutzerdaten 48 fOr den Dienst ^Buc W 

S.'dt"o1Sen"ASSr^^^^^^ -'-^'^ 



40 



45 



die bereits durch einen Dienstnutzer bestellten Bii- 
Cher, 

- ein Kennzeichen fur den Dienstnutzer, und 

- Angaben uber vom Dienstnutzer noch nicht begli- 
chene Rechnungen im Zusammenhang mit den Buch- 



[0039] Die Dienstnutzerprofile 46 sind mit einem soee- 
nannten Offentlichen SchlOssel Sl-E (EncryS) vtr- 

50 n=,. T\^«™^'"" der Dienstnutzeiprofite 46 aus der 
so Da enbank 40 werden die Daten mit Hilfe eines gehehnge- 

haltenen priyaten Schlusscls Sl-D (Deco'ption) entschWs- 
selt. Die beiden Schlussel Sl-E und Sl-D sind Se . 
schlusscl ones asymmctrischcn Vcrschlflssclungsvcrfah- 
rens. Der pnvate SchlUssel Sl-D liisst sich durch konsCuk- 

^rgeirhtitet''-'''''''''^ ^"-'^SL 

[0040J Die Dienst-Nutzerdaten 48 werden in den Dien- 
sterbringungsrechnern 22 bis 26 mit voneinander verschie- 
denen offentlichen Sch1a.s.se1n der einzelnen Dien.slerbringer 

L?S2 ?£w %^»'t,''.«^Pi-l''--- die offentlichen Schlul 
rel ^2-E bzw. S3-E im Diensterbringungsrechner 22 bzw 
24. Anschhefiend werden die verschlUsselten Dienst-Dienst- 
nuuerdalen Uber die Verbindung 42 bzw. 44 iiber(ragen3 
65 Ztl ^uf'^ verschlusselt gespeichert. Andererseits 
n f"^"? die Dienst-Nutzerdaten 48 auch verschliisselt aus 
ifu '^^^''^ ^'='^'=hl"«elt iiber die Verbindung 

42 bzw. 44 zu einem Diensterbringungsrechner 22 bzw. 24 
ubertragen und dort mit Hilfe eines Partnerschliisseis S2-D 
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bzw, S3-D enischlusseln. 

[0041] Fig. 2 zeigt Verfahrensschritte zur Erbringung des 
Dienstes "Biichkauf diirch den Diensterbringungsrechner 
22. Will der Dienstnutzer A ein Buch kaufen, so baut er eine 
Verbindung zwischen seinem Dienstnutzungsrechner 18 5 
und dem Zentralrechner 12 auf, genauer gesagt mil der Zu- 
gangseinheit 36 des Zeniralrechners 12. Zwischen Dienst- 
nutzungsrechner 18 und Zugangseinheit 36 wird ein Au- 
tlientisierungsverfahren 60 ausgcfuhrt, bei dem ein Nutzer- 
kennzeichen des Dienstnutzers A durch die Zugangseinheit 10 
36 crfragt wird. An Hand des Nutzcrkcnnzcichcns wird cin 
offentlicher Schliissel S4-E ermittelt, welcher der Partner- 
schliissel zu dem in der Smartkarte 20 gespeicherten Schliis- 
sel S4-D des Dienstnutzers A ist. Unter Verwendung des of- 
fentlichen Schlussels Sl-E des Zeniralrechners 12 werden 15 
die vom Dienstnutzungsrechner 18 kommenden Daten ver- 
schliisselt. Die Zugangseinheit 36 entschiusselt diese Daten 
mil Hilfe des privaten Schlussels Sl-D. Die von der Zu- 
gangseinheit 36 zum Dienstnutzungsrechner 18 zu uberira- 
genden Daten werden andererseits in der Zugangseinheit 36 20 
mit Hilfe des offentlichen Schlilssels S4-E verschlUsselt und 
anschlieBend Uber das Internet 14 zum Dienstnutzungsrech- 
ner 18 iibertiagen. Im Dienstnutzungsrechner 18 wird zum 
Entschliisseln der von der Zugangseinheit 36 kommenden 
Daten cin privatcr Schliissel S4-D bcnutzt, der in der Smart- 25 
karte 20 gesichert gespeichert ist. Vor der Benutzung des of- 
fentlichen Schliissels S4-E pruft die Zugangseinheit 36, ob 
dieser Schliissel noch giiltig ist. 

[0042] AnschlieBend fordert die Zugangseinheit 36 ein 
Dienstnutzerprofil NP-A des Dienstnutzers A von der Da- 30 
tenbank 40 an, siehe Pfeil 62. An Hand der im Dienstnutzer- 
profil NP-A gespeicherten Daten erstelll die Zugangseinheit 
36 dem Dienstnutzer A eine Auswahlliste mit Adressen von 
Diensterbringungsrechnem, die er h^ufig anwahlt. In dieser 
Liste ist auch die Intemetadresse des Diensterbringungs- 35 
rectiners 22 vermerkt. 

[0043] Der Dienstnutzer A wahlt aus der Liste einen Dien- 
sterbringungsrechner aus, beispielsweise den Diensterbrin- 
gungsrechner 22, sichc Pfcil 64. In cincm nachstcn Vcrfah- 
rensschritt 66 wird zwischen dem Dienstnutzungsrechner 18 40 
und dem Diensterbringungsrechner 22 ein gesicherter Uber- 
tragungskanal aufgebaut. Der Diensterbringungsrechner 22 
iibermittelt an den Dienstnutzungsrechner 18 seinen offent- 
lichen Schliissel S2-E und ein Zertifikat ZB zu seinem of- 
fentlichen Schliissel S2-E. Im Dienstnutzungsrechner 18 45 
wird das Zertifikat zu dem offentlichen Schliissel S2-E iiber- 
priift, Es sei angenommen, dass das Zertifikat ZB echt ist. 
[0044] Der Dienstnutzer A verschliisseli die von ihm zu 
sendenden Daten mit Hilfe des offentlichen SchlOssels S2- 
E. AuBerdem iibermittelt der Dienstnutzungsrechner 18 sei- 50 
nen offentlichen Schliissel S4-E und eineh Verweis auf ein 
Zertifikat zu seinem offentlichen Schliissel S4-E, beispiels- 
weise cincn Vcrwcis auf das PKI-Zcntrum 28 odcr cincn 
Verweis.auf den Zentralrechner 12. Der Diensterbringungs- 
rechner 22 iiberpriift das Zertifikat unter Verwendung min- 55 
destens eines offentlichen Schliissels, dem er vertraut. Das 
Zertifikat sei echt. Vom Diensterbringungsrechner 22 kom- 
mende Daten werden deshalb mit Hilfe des offentlichen 
Schliissels S4-E verschliisselt. 

[0045] IJm sogenannte Replay-Angriffe und sogenannte 60 
Man-in-the-Middle-Angriffe auszuschlieBen, wird beim 
Aufbau des gesicherten Ubertragungskanals 66 auch ein so- 
genanntes Challenge-Response- Verfahren eingesetzt, bei 
dem Zufallszahlen zwischen dem Dienstnutzungsrechner 18 
und dem Diensterbringungsrechner 22 ausgetauscht werden, 65 
die sich bei jedem Verbindungsaufbau andem. 
[0046] Der Dienstnutzer A wahlt iiber den gesicherten 
tJbertragungskanal ein Buch aus und bekundet durch Betati- 
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gen einer Schaltflache sein Kaufinteresse. Danach wird zwi- 
schen dem Diensterbringungsrechner 22 und dem Zentral- 
rechner 12 eine Verbindung aufgebaut, genauer gesagt zwi- 
schen dem Diensterbringungsrechner 22 und der Zugangs- 
einheit 36 des Zentralrechners 12. 

[0047] In einem Verfahrensschritt 68 wird die Berechti- 
gung des Diensterbringungsrechners 22 gepruft. Fur diese 
Priifung iibermittelt der Diensterbringungsrechner 22 ein 
Zertifikat ZB zu seinem offentlichen Schlussel S2-E an die 
Zugangseinheit 36. Die Zugangseinheit 36 uberpruft dieses 
Zertifikat ZB. 

[0048] Die vom Diensterbringungsrechner 22 kommen- 
den Daten sind mit Hilfe des offentlichen Schlussels Sl-E 
des Zeniralrechners 12 verschliisselt. Der Zentrakechner 12 
kann diese Daten unter Verwendung seines privaten Schliis- 
sels Sl-D entschliisseln. 

[0049] Auch der Zentralrechner 12 sendet ein Zertifikat zu 
seinem offentlichen Schliissel Sl-E an den Diensterbrin- 
gungsrechner 22. Vor der Verwendung des Schlussels Sl-E 
prUft der Diensterbringungsrechner 22 das Zertifikat zu dem 
offendichen SchlUssel Sl-E. 

[0050] Der Diensterbringungsrechner 22 fordert nun Kun- 
dendaten KD-A des Dienstnutzers A vom Zentralrechner 12 
an. In einem Verfahrensschritt 70 werden die Kundendaten 
KD-A aus der Datcnbank 40 ausgclcscn und an den Dien- 
sterbringungsrechner 22 iibertragen. Die Kundendaten KD- 
A sind dabei mindestens einmal verschliisselt, und zwar mit 
dem offentlichen Schliissel S2-D. 

[0051] Aufgrund der Kundendaten KD-A erstellt der 
Diensterbringungsrechner 22 automatisch' einen Kaufver- 
trag. Die Vertragsdaten werden vom Dienstnutzungsrechner 

18 nach der Eingabe einer PIN (Personal Identity Number), 
einer TAN (Transaction Number) oder eines biometiischen 
Merkmals unter Verwendung des privaten Schliissels S4-D 
unterzeichnet. Auch der Diensterbringungsrechner 22 des 
Diensterbringers B unterzeichnet die Vertragsdaten mit sei- 
nem privaten. Schliissel S2-D. Die unterzeichneten Daten 
werden zwischen dem Dienstnutzungsrechner 18 und dem 
Diensterbringungsrechner 22 iiber den gesicherten Ubcrtra- 
gungskanal ausgetauscht. 

[0052] Im Diensterbringungsrechner 22 wird die Unter- 
schrift des Dienstnutzungsrechners 18 gepriift. Dazu lasst 
sich der offentliche Schliissel S4-E nutzen. Es sei angenom- 
men, dass die Unterschrift echt ist. Der Dienstnutzungsrech- 
ner 18 priift die Unterschrift des Diensterbringungsrechners 
22 unter Verwendung des offentlichen Schliissels S2-E. 
[0053] In einem Verfahrensschritt 74 stcllt der Dienster- 
bringungsrechner 22 eine Anfrage zur Zahlungsabwicklung 
mit dem Diensmutzer A und gibt dabei den Betrag an, fiir 
den der Dienstnutzer A bei ihm Bucher gekauft hat, bei- 
spielsweise DM 300. Die Anfrage und der Betrag werden 
mit Hilfe des privaten Schliissels S2-D einer Unterschrift 
SignB untcrschricbcn. 

[0054] Die Pnifeinheit 38 ' uberpruft die Unterschrift 
SignB mit Hilfe des offentlichen Schlussels S2-E. Es sei an- 
genommen, dass die Unterschrift echt ist. Die Priifeinheit 38 
priift mit Hilfe eines unten an Hand der Fig. 3 naher erlau- 
terten Verfahrens, ob ein Kreditinstitut eine Deckungszu- 
sage iihemimmt, ob der Betrag im Rahmen einer Kreditver- 
einbarung mit einem Kreditinstitut liegt oder ob der Dienst- 
nutzer A seine Erlaubnis zur sofortigen Abbuchung von sei- 
nem Konto gegeben hat. Es sei angenommen, dass eine Er- 
laubnis zur sofortigen Abbuchung vorliegt. Deshalb be-* 
schafft die Priifungseinheit 38 nun nach einem unten an 
Hand der Fig. 4 erlauterten Verfahren ein Zahlungsattribut. 
Die Priifeinheit 38 bucht dann den Betrag von DM 300 vom 
Konto des Dienstnutzers A ab und iiberweist den Betrag auf 
ein Treuhandkonto, um ihn spater an den Betreiber des 
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Diensterbringungsrechners B zu uberweisen 
[00S5] In einem Verfahrensschritt 76 wird zum Dienster- 
bnngungsrechner 22 ein Zahlungsattribut iibertragen, in 
^.x?,«« v''^' ^"^^ '^^'^ Dienslnutzer A den Betrag von 
DM 300 bezahlt bzw. bezahlt hat. Das Zahlungsattribut wird 5 
nut Hilfe des pnvaten Schlussels Sl-D des Zentralrechners 
12 unterschrieben und zum Diensterbringungsrechner 22 
mn«V"^T eegebenenfalls auch in verschlusselter Form • 
10056] In einem Verfahrensschritt 78 bestatigt der Dien- 
sterbnngungsrechncr 22 dem Dienstnutzungsrechner 18 10 
dass dcr Auftrag angcnommcn und die Auslicfcrung dcr Bu - 
Cher veranlasst worden ist. Zur Obertragung der Auftra- 
gungsbestatigung wird der gesicherte tjbertragungskanal 
zwischen dem Diensterbringungsrechner 22 und dem 
Dienstnutzungsrechner 18 genutzt. ,5 
10057J In einem Verfahrensschritt 80 aichiviert der Dien- 
sterbntigungsrechner 22 die den Kaufvertrag betreffenden 

''u?^'*"''^'' gegebenenfalls verschlusselt. 
10058] Nachfolgende weitere Verfahrensschritte 82 sind 
durch Punkte angedeutet. Der Diensterbringungsrechner 22 20 
veranlasst Uberein I^gistiksystem die Ausliefening des Bu- 
ches an den Dienstnutzer A. Bei def Ubergabe des Buches 
bestahgt der Dienstnutzer A den Erhalt. Die BestatiKune 
"^""^.^ '^"^"'"^ ^^^^ Mobilfunknetz 16 mit Hilfe ei- 
ncr SMS-Nachricht (Short Message Service) an den Zcntral- 25 
rechner 12 ubertragen und dort fur spiitere Nachweiszwecke 
gespeichen Oleichzeitig wird die Uberweisung des Betra- 
ges von DM 300 von dem Tieuhandkonto auf ein Konto des 
Uiensterbnngers B iiberwiesen. 

10059J Kig. 3 zeigt die Beaibeitung der Zahlungsfahig- 30 
keitsanfrage^ D,e ZahlungsfShigkeitsanfrage wird von der 
Prufeinheit 38 an einen Bankrechner 100 gestellt. der einem 
Krediunstitut Oder einer Bank gehatt Die ZahlungsKhifi- 
keitsanfrage wird durch einen Pfeil 102 dargestellt und em- 
hWt Angaben zum Dienstnutzer A sowie Angaben zum Be- 35 
trag. Der Bankrechner 100 uberpriift. ob eine Deckungszu- 
sage erteilt werden kann. Im Ausfuhrungsbeispiel ist dies 
der FaU und mit Hilfe einer Auskunft 104 tcilt der Bank- 
rechner 100 der Prufeinheit 38 mit, dass dcr Dienstnutzer A 
die Erlaubnis erteilt hat, von seinem Konto sofort abzubu- 40 
Chen. Bei einem anderen Ausfuhrungsbeispiel teilt der 
Bankrechner 100 beispielsweise mit, dass der Dienstnutzer 
einen JCreditrahmen von zehn tausend D-Mark hat 

£"r^n/"'^^'%ii''^'^«'"« Zahlungsfahigkeitsan- 
Jh^nfl^Ti,^ Ubertragung der Auskunft 104 lassen sich 45 
ebenfalls digitale Schlussel einer Infrastruktur und zugeho- 
nge Zerufikate nutzen, urn einem Missl?rauch vorzubeugen 
Bei einem Ausfuhrungsbeispiel werden die zwischen der 
Prufeinheit 38 und dem Bankrechner 100 ausgetauschten 
Daten nach einem digitalen Vferschlusselungsverfahren ver- 50 
schlusselt. . 

[0061] Die Auskunft 104 des Bankrechners 100 wird in 
dem Dicnstnutzcrprofil 46 gcspcichcrt. Die Auskunft ist 
vertrauhch und wird dem Diensterbringungsrechner 22 
nicht zur Verfiigung gestellt. 55 
[0062] Fig. 4 zeigt die Bearbeitung einer Zahlungsattri- 
butantrage 122, die nach dem Hrhalt der Auskunft 104 von 
der Prufeinheit 38 an einen Zahlungsattribut-Server 120 ee- 
nchtet^ wird, der auch als TrustedA-Rechner bezeichnet 
wird. Beispielsweise wird ein TrustedA-Rechner der Firma 60 
:i6±i eingesetzt, siehe www.sse.ie. 

[0063] Die Zahlungsattributanfrage 122 enthait u. a. die 
folgenden Daten: 

- den Betrag von DM 300. 55 

- den Namen dcr Prufeinheit 38, die das Zahlungsat- 
tribut beantragt, und 

den Namen des Di«isterbringungsrechners 22, fur 
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den das Zahlungsattribut bestimmt ist. 

[0064] per Zahlungsattribut-Server 120 stellt ein Zah- 
lungsattnbut 124 aus mit dem folgende Daten zertifizien, 
d. h. mit einer digitaien Unterschrift SignAS des Attribut- 
Servers versehen, werden: ^lltidui 

- der Betrag von DM 300 

'^^^^ir.ntT'-''''''' 

- den Namen des Diensterbringungsrechners 22, fUr 
den das Zahlungsattribut 124 bestimmt ist, und 

- ein Ablaufdatum. 

Zahlungsattribut wird in einem Verfahrens- 
schn 124 vom Attribut-Server 120 zur ftuteinheit 38 iiber- 
rnittelt. Die Pnifeinheit priift die Angaben und die Unter- 
schnft .SignAS mit Hilfe mindestens eines tiffentUchen 
6chiussels, der als vertrauensvoll eingestuft ist 
[0066] Auch der Diensterbringungsrechner 22 pruft bei ei- 
't?" '•"5'''' Echtheit des Zahlungsattribu- 

JribJfiSist ' Zahlungsat- 
[«)67] Die an Hand der Fig. 1 bis 34 eriauterten Einheiten 
lassen sich mit Hilfc von Programmcn rcalisicrcn. Einge- 
setzt werden aber auch Schaltungseinheiten ohne einen Pro- 
zessor. Die Funktionen des Zentralrechners 12 lassen sich 
auch auf mehrere Rechner aufteilen. die an verschiedenen 
iteUen des Datenubertragungsnetzes 10 liegen 
10068J Bei einem anderen Ausfuhrungsbeispiel werden 
unterschiedliche Schlussel zum Verschliisseln der Daten 
zwischen dem Zentralrechner 12 und dem Diensterbrin- 
gungsrechner einerseits und zum VerschltSsseln der in der 
Datenbank 40 zu speichemden Dienst-Dienstnutzerdaten 48 
verwendet. Durch eine Doppelverschlflsselung der Obertra- 
gung auf den Verbindungen 42 und 44 lasst sich die Sicher- 
heit welter erhohen. 

[0069] Durch den Betreiber des Zentralrechners 12 wer- 
den die Dicnstcrbringcr vor dcr Ertcilung cincr Zugangsbc- 
rechtigung auf ihre Vertrauenswurdigkeit hin uberpriift 
Auch- neue Dienstnutzer werden auf ihre Vertrauenswiirdifi- 
keit hin uberpriift, Durch diese Vorgehensweise lasst sich 
die Akzeptanz der eriauterten Verfahren sowohl auf der 
beite der Diensterbringer als auch auf der Seite der Dienst- 
nutzer weiter erhohen. "'"in^i 

[0070] Bei eitiem weiteren Ausfuhrungsbeispiel werden 
die Funkuonen des TrustedA-Rechners 120 durch den Zen- 
tralrechner 12 eAracht. Wird der Zentralrechner 12 bei ei- 
nem nachsten Ausflihrungsbeispiel von einer Bank betrie- 

inn " 4'"*' ^"^"^ Funktionen des Bankrechners 

100 durch den Zentralrechner 12 erbringen 

[0071] Die Funktionen des Zentralrechners 12 werden bei 
cmcm anderen Ausfiihmngsbcispiclcn von mchrcrcn Rcch- 
nern erbracht, die aber das Internet 14 oder Ober Standlei- 
tungen miteinander verbunden werden. 

Patentanspriiche • 

1. Verfehren zum Rrbringen von Diensten in einem 
Datenubertragungsnetz (10), 

bei dem eine Zugangsfunktion (36) fur mehrere Dienst- 
nutzungsrechner (18) abhSngig von Anfordeningen 
von der Seite eines Dienstnutzungsrechnera (18) eine 
Verbindung zwischen dem Dienstnutzungsrechner (18) 
und einem von mehreren durch einen Dienstnutzer (A) 
auswahlbaren Diensterbringungsrechner (22 bis 26) er- 
moglicht, ' 

bei dem in einer zentralen Datenbank (40) Bir die ver- 
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schiedenen Dienstnutzer (A) zu sichemde Nutzerdaten 
(46) gespeicherl werden, die zur Erbringung der Dien- 

steverschiedener Diensterbringiingsrechner (22 bis 26) 
. erforderlich sind, 

bei dem nach der Verbindungsaufnahme zwischen ei- 5 
• nem Dienstnutzungsrechner (18) und einem ausge- 
wahlten Diensterbringungsrechner (22) im Rahmen der 
Diensterbringung fiir den den Dienstnutzungsrechner 
(18) nutzenden Dienstnutzer (A) an eine von mehreren 
Diensterbringungsrechner (22 bis 26) genutzte Prufein- 10 
hcit (38) cine Anfordcrung gcstcllt wird, die nur untcr 
Verwendung der zu sichernden Nutzerdaten (46) des 
Dienstnutzers (A) bearbeitet werden kann, 
bei dem die Prufeinheit (38) die Anforderung (74) un- - 
ter Zugriff auf die zu sichernden Nutzerdaten (46) des 15 
Dienstnutzers (A) bearbeitet und das Bearbeitungser- 
gebnis (76) an den die Anforderung (74) steilenden 
Diensterbringungsrechner (22) ubermitteli, 
und bei dem der Diensterbringungsrechner (22) seinen 
Dienst abhangig vom Bearbeitungsergebnis (76) er- 20 
bring t. 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, dass die Diensterbringungsrechner (22 bis 26) ver- 
schiedenen Betrcibem gehoren, 

dass nach der Anwahl cincs Dicnstcrbringungsrcchncrs 25 
dessen Berechtigung zum Stellen einer Anforderung 
mit Hilfe eines Berechtigungsprufverfahrens (68, 74) 
gepriift wird, 

und dass bei bestehender Berechtigung das Bearbei- 
tungsergebnis (76) und bei tehlender Berechtigung 30 
kein Bearbeitungsergebnis (76) iibermittelt wird, 

3. Verfahren riach Anspruch 1 oder 2, dadurch gekenn- 
zeichnet, dass die zu sichernden Nutzerdaten (46) ver- 
schlusselt gespeichert werden, und dass die Dienster- 
bringungsrechner (22 bis 24) keinen Zugang zu einem 35 
zum Entschliisseln der zu sichernden Nutzerdaten (46) 
erforderlichen digitalen Schliissel (Sl-D) haben. 

4. Verfahren zum Erbringen von Diensten in einem 
Datcnubcrtragungsnctz (10), insbcsondcrc nach einem 
der Yorhergehenden Anspruche, dadurch gekennzeich- 40 
net, dass in einer Datenbank (40) Dienst-Nutzerdaten 
(48) gespeichert sind, die dienstbezogene Daten fur die 
Dienstnutzer (A) einzelner Diensterbringungsrechner 
(22 bis 26) enthalten, 

dass nach der Auswahl eines Diensterbringungsrech- 45 
ners (22 bis 26) dessen Berechtigung zum Empfangen 
von Diensi-Nutzerdaten (48) betreffend den durch ihn 
erbrachten Dienst gepriift wird, 

dass an den ausgewahiten Diensterbringungsrechner 
(22) bei besteliender Berechtigung die Dienst-Nutzer- 50 
daten (48) desjenigen Dienstnutzers (A) ubermittelt 
werden, der den ausgewahiten Diensterbringungsrech- 
ner (22) ausgcwahit hat, 

und dass der Diensterbringungsrechner (22) seinen 
Dienst unter Verwendung der ubermittelten Dienst- 55 
Nutzerdaten (48) erbringt. 

5. Verfahren nach Anspruch 4, dadurch gekennzeich- 
net, dass die Dienst-Nutzerdaten (48) verschlusselt ge- 
speichert und ubertragen werden. und dass verschie- 
dene Diensterbringungsrechner (22. 24) verschiedene 60 
digitale SchlUssel (S2-D. S3-D) zum Entschliissehi der 
Dienst-Nutzerdaten (48) verwenden. 

6. Verfahren nach Anspruch 4 oder 5, dadurch gekenn- 
zeichnet. dass die Dienst-Nutzerdaten (48) mit einem 
zentralen Verschliisselungsverfahren verschlusselt 65 
sind, und dass zum Verschlusseln gemaB zentralem 
Verschliisselungsverfahren ein fur die Dienst-Dienst- 
nutzerdaten verschiedener Diensterbringungsrechner 
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(22 bis 26) gleicher digitaler SchliisseJ verwendet wird. 

7. Verfahren nach einem der Anspruche 4 bis 6, da- 
durch gekennzeichnet, dass in einer von mehreren 
Diensterbringungsrechnem (22 bis 26) genutzten Da- 
tenbank (40) digitale Daten ubcr Zahlungsvorgange fur 
verschiedene Diensterbringungsrechner (22 bis 26) ge- 
speichert werden (80). 

8. Verfahren nach einem der vorhergehenden Ansprii- 
che, dadurch gekennzeiclinet, dass die Berechtigung 
des Dienstnutzers (A) unter Verwendung eines Berech- 
tigungsprufverfahrens (60) gepriift wird, und dass die 
Auswahl nur beim Vorliegen einer Berechtigung zuge- 
lassen wird. 

9. Verfahren nach einem der vorhergehenden Anspru- 
che, dadurch gekennzeichnet, dass die Berechtigungs- 
priifung unter Verwendung von digitalen Schlusseln 
durchgefuhrt wird, die von mindestens einer Zertifizie- 
rungssteUe (28) erzeugi worden sind, und dass die Zer- 
lifizierungsstelle (28) Teil einer Zertifizierungs-Infra- 
struktur ist. 

10. Verfahren nach Anspruch 9, dadurch gekennzeich- 
net, dass ein geheuiizuhaltender digitaler Schliissel 
(S4-D) fur das Verschlusseln eingesetzt wird, und dass 
der geheimzuhaltende digitale Schlusscl (S4-D) in ei- 
ner clcktronisch gcsichcrtcn Spcichcrcinhcit (20) ge- 
speichert ist. 

11. Verfahren nach Anspruch 10, dadurch gekenn- 
zeichnet, dass die gesicherte Speichereinheit (20) Be- 
standteil einer Chipkarle (20) mit einem Prozessor ist, 
und dass auf die gesicherte Speichereinheit (20) nach 
einer Berechtigungspriifung nur mit dem Prozessor zu- 
gegriffen werden kann. 

12. Verfahren nach einem der vorhergehenden An- 
spruche. dadurch gekennzeichnet, dass die Anforde- 
rung (74) die Absicherung einer Zahlung betrifft. 

13. Verfahren nach Anspruch 12, dadurch gekenn- 
zeichnet, dass die Priifcinheit (38) zur Bearbeitung der 
Anforderung eine Anfrage (102) zum Erhalt eines Zah- 
lungszcrtifikats (104) an cincn Zcrtifizicrungsrcchncr 
(120) stellt, und dass der Zertifizierungsrechner (120) 
ein digitales Zahlungszertifikat (124) erzeugt, das die 
Zahlung absichert, und dass das Zahlungszertifikat 
uber die Prufeinheit (38) zum Diensterbringungsrech- 
ner (22) weitergeleitet wird. 

14. Verfahren nach Anspruch 12, dadurch gekenn- 
zeichnet. dass die Prufeinheit (38) bei der Bearbeitung 
der Anforderung (74) ein Zahlungszertifikat erzeugt. 
das die Zahlung absichert, und dass das Zahlungszerti- 
fikat an den Diensterbringungsrechner (22) weiterge- 
leitet wird. 

15. Verfahren nach Anspruch 13 oder 14, dadurch ge- 
kennzeichnet, dass das Zahlungszertifikat (124) mit 
Hilfc cincs digitalen Schliisscls crzcugt wird. 

16. Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, dass die Dienster- 
bringungsrechner (22 bis 26) die Funktion elektroni- • 
scher Kaufplattformen fiir verschiedene Produkte oder 
Produktgruppen erbringen und/oder elektronischer 
Dienstieistungsplattformen fur verschiedene DiensUei- • 
stungen oder Dienstleistungsgruppen. 

17. Programm mit einer Befehlsfolge, bei deren Aus- 
fUhrung durch einen Prozessor die Verfahrensschritte 
nach einem der vorhergehenden AnsprUche ausgeFuhrt 
werden. 

18. Datenverarbeitungsanlage (12), gekennzeichnet 
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durch ein Programm nach Anspruch 17. 
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